Trädvy Permalänk
Medlem
Registrerad
Apr 2006

Wireguard i custom router

Testade precis Wireguard via TunSafe klienten på Windows mot AzireVPN och herre jävla vad fort det går. Trots att vi snackar en windowsbaserad mjukvaruklient här så blåser den brallorna av min pfSense (OpenVPN) router på dedikerad hårdvara. Nu kör visserligen denna Wireguard klient på en kraftfull PC ska erkännas, men ändå.

Så naturligtvis föds tanken, vad finns det för alternativ att köra en egen router med något annat än pfSense? Finns det några stabila image att utgå ifrån som inte kräver hysteriska mängder CLI knackande och annat, kanske tom ett webbgränssnitt?

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

@improwise: Snubblade in på wireguard jag med. Har du hunnit testa detta något mer?

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av Joulester:

@improwise: Snubblade in på wireguard jag med. Har du hunnit testa detta något mer?

Nej, mer än att jag kört det på Windows och noterat hastigheter som OpenVPN inte är i närheten av. Hoppas på regn i somar så jag kan slänga in OpenWRT och testköra där

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

@improwise: Vet du om det finns några leverantörer där ute som har wireguard?

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Plats
Tyskland
Registrerad
Dec 2008

Den är inte färdig än så det är knappast relevant att jämföra med säkra VPN som OpenVPN. Intressant att leka med men inte något man ska lita på tills version 1.0 är ute och den har analyserats av folk som vet vad de håller på med.

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av Joulester:

@improwise: Vet du om det finns några leverantörer där ute som har wireguard?

Gissar att du menar VPN leverantörer, då vet jag att iaf AzireVPN och Mullvad har stöd för det. AzireVPN erbjuder det tom gratis, gjorde det iaf tidigare.

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

@improwise: Såg att mullvad leverar det. Jag är dock intresserad om detta kommer till bsd snart. vore trevlig att köra det i pfsense eller opensense 1

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016
Skrivet av AxMi-24:

Den är inte färdig än så det är knappast relevant att jämföra med säkra VPN som OpenVPN. Intressant att leka med men inte något man ska lita på tills version 1.0 är ute och den har analyserats av folk som vet vad de håller på med.

Såg det nu. Ska dock bli intressant att följa :).

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Plats
Tyskland
Registrerad
Dec 2008
Skrivet av Joulester:

@improwise: Såg att mullvad leverar det. Jag är dock intresserad om detta kommer till bsd snart. vore trevlig att köra det i pfsense eller opensense 1

Den är ute för opnsense men du måste installera det genom CLI. Bäst att testa på något som är inte känsligt

Skrivet av Joulester:

Såg det nu. Ska dock bli intressant att följa :).

Precis. Det är intressant idé men jag är lite orolig att den är lite för enkel för att fungera väl i lite mer avancerade setup. I för sig kanske det löses av att den visar upp sig som ett interface så att man låter allt annat åt firewallen. Tycker om OpenVPNs möjlighet att tillåta kommunikation mellan klienter på samma VPN och annat liknande

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Okt 2009

Håller tummarna för att Wireguard visar sig vara såpass säkert som det påstås.. Ser framemot dagen då man kan skicka kundernas grovt överprisade Cisco ASO:r i elektronikåtervinningen i förmån för motsvarande PFSense dito (Typ Netgate SG-3100)

Workstation : HP EiteBook 840G1 i7 spec | 256GB*2SSD | 16GBDDR3

Server : Fujitsu Primergy | i3 4130T | 16GBDDR3 ECC | ESXi 6.5

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av wille61:

Håller tummarna för att Wireguard visar sig vara såpass säkert som det påstås.. Ser framemot dagen då man kan skicka kundernas grovt överprisade Cisco ASO:r i elektronikåtervinningen i förmån för motsvarande PFSense dito (Typ Netgate SG-3100)

Är väl främst prestandan som talar för Wireguard vs OpenVPN eller finns det även säkerhetsskäl som skäl att byta?

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Feb 2005
Skrivet av improwise:

Är väl främst prestandan som talar för Wireguard vs OpenVPN eller finns det även säkerhetsskäl som skäl att byta?

Osäkert hur säkert Wireguard är.

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Okt 2009
Skrivet av improwise:

Är väl främst prestandan som talar för Wireguard vs OpenVPN eller finns det även säkerhetsskäl som skäl att byta?

Det är ju just det, säkerheten är ännu ej bekräftad så vitt jag vet.

Men valet på brandvägg faller oftast på något svindyrt (Cisco, Dell m.fl.) på grund av kass prestanda i OpenVPN. Nu finns ju IPSec även i PFSense men det ska tydligen inte vara lika vasst som IPSec hos dom mer etablerade tillverkarna, saknas essentiella funktioner m.m. Har inte ens försökt mig på detta själv om jag ska vara helt ärlig så det är möjligt att det är rent skitsnack.

Workstation : HP EiteBook 840G1 i7 spec | 256GB*2SSD | 16GBDDR3

Server : Fujitsu Primergy | i3 4130T | 16GBDDR3 ECC | ESXi 6.5

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av wille61:

Det är ju just det, säkerheten är ännu ej bekräftad så vitt jag vet.

Men valet på brandvägg faller oftast på något svindyrt (Cisco, Dell m.fl.) på grund av kass prestanda i OpenVPN. Nu finns ju IPSec även i PFSense men det ska tydligen inte vara lika vasst som IPSec hos dom mer etablerade tillverkarna, saknas essentiella funktioner m.m. Har inte ens försökt mig på detta själv om jag ska vara helt ärlig så det är möjligt att det är rent skitsnack.

Min poäng var väl att OpenVPN i sig är hyfsat säkert vad jag vet och främst skälet att byta till något annat har med prestanda att göra. pfSense (eller vad man nu kör) är väl bara en tredjedel av ekvationen, där övriga 2 tredjedelar är hårdvaran och nätanslutningen. Kör man pfSense på en Pi och jämför med en toppmodell från Cisco så kanske man är lite fel ute

Trädvy Permalänk
Medlem
Plats
root
Registrerad
Jan 2004

Wireguard är onekligen ett väldigt intressant projekt , det ska bli roligt att testa när det kommit en stabil version & självfallet när fler oberoende personer utvärderat säkerheten

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Okt 2009
Skrivet av improwise:

Min poäng var väl att OpenVPN i sig är hyfsat säkert vad jag vet och främst skälet att byta till något annat har med prestanda att göra. pfSense (eller vad man nu kör) är väl bara en tredjedel av ekvationen, där övriga 2 tredjedelar är hårdvaran och nätanslutningen. Kör man pfSense på en Pi och jämför med en toppmodell från Cisco så kanske man är lite fel ute

Helt klart, missförstå mig rätt..

Min poäng är att en IPSec-tunnel är bättre utformad för att flytta en större mängd krypterad data snabbare på samma hårdvara som en OpenVPN-tunnel (i dom allra flesta fallen).

Detta beror på som jag har förstått det på att OpenVPN är riktigt uselt på att nyttja flera CPU-kärnor, något ett IPSec VPN löser bättre.

Blir det lugnt i sommar på jobbet tänkte jag göra ett test, OpenVPN vs IPSec på två Netgate SG-3100. Både s2s och remote access.

Kan bli en forumtråd om det finns intresse!

Workstation : HP EiteBook 840G1 i7 spec | 256GB*2SSD | 16GBDDR3

Server : Fujitsu Primergy | i3 4130T | 16GBDDR3 ECC | ESXi 6.5

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av wille61:

Helt klart, missförstå mig rätt..

Min poäng är att en IPSec-tunnel är bättre utformad för att flytta en större mängd krypterad data snabbare på samma hårdvara som en OpenVPN-tunnel (i dom allra flesta fallen).

Detta beror på som jag har förstått det på att OpenVPN är riktigt uselt på att nyttja flera CPU-kärnor, något ett IPSec VPN löser bättre.

Blir det lugnt i sommar på jobbet tänkte jag göra ett test, OpenVPN vs IPSec på två Netgate SG-3100. Både s2s och remote access.

Kan bli en forumtråd om det finns intresse!

Problemet är väl att få VPN leverantörer erbjuder IPSec vad jag vet, iaf såna som vänder sig till hemmaanvändare. OpenVPN använder väl bara en tråd så användningen av andra kärnor är väl obefintlig, dock kan man köra flera tunnlar.

Då hoppas vi på regn i sommar alltså

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

@improwise: Jag körde ett test med 3st tunnlar samtidigt på en E3-1270 men fick fortfarande inte ut så mycket mer. Från ca 400 till 550mbit. Hoppas wireguard är säkert för prestandan verkar bli gånger 4 mot openvpn.

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av Joulester:

@improwise: Jag körde ett test med 3st tunnlar samtidigt på en E3-1270 men fick fortfarande inte ut så mycket mer. Från ca 400 till 550mbit. Hoppas wireguard är säkert för prestandan verkar bli gånger 4 mot openvpn.

Antar att du menar 3 tunnlar uppsatta som en "lastbalanserare" då och inte bara tre fristående tunnlar? Och hur mätte du, vanliga mätverktyg verkar lite opålitliga när det gäller VPN, i synnerhet med komprimering påslaget.

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

@improwise: stämmer bra! Körde dock bara ett enkelt speedtest. dock så föl det hos mig att jag fick olika ip och behövde ha samma över alla 3 tunnlarna.

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Registrerad
Jul 2017

AES-NI hjälper till viss del men då OpenVPN verkar ha problem att komma upp i högre hastigheter än 220 Mb/s. (Har själv provat på 1gbit linan)

Men framtiden ser ljus ut och nu finns de på flera plattformar och har blivit accepterade i Google's Google's Summer of Code och flera kernel utvecklare för distro's har velat implementera det native i sin distros (https://www.youtube.com/watch?v=04TsF72o-V4)

Får ut 80 Mbit/s med OpenVPN direkt i min Nighthawk router (med DD-WRT) och 240 Mbit/s (ungefär vad jag får ut) med 250/250.

Kan spela FPS spel utan rubberbanding som med OpenVPN.

Har för närvarande inte råd med en Gbit lina längre (nedgraderade innan jag skaffade nya routern), men får jag råd så provar jag självklart hur snabbt den klarar av det.

Skrivet av filbunke:

Osäkert hur säkert Wireguard är.

Skulle vilja påstå att det är mer säkert då det är färre än 4000 rader kod medan OpenVPN har över 100k och krävs team för att verifiera dess säkerhet.

Trädvy Permalänk
Representant
Plats
Stockholm
Registrerad
Maj 2018

I have somewhat controversial opinion about why people use VPN in general. Contrary to most people, I don't think security is the most important feature of VPN.

Most users need VPN to establish a stable connection to a home network, office computer, download some torrents, access US-only websites, access Netflix, etc.
If you are using VPN for these purposes, then WireGuard will be a fantastic choice. NSA is not interested in this stuff at all.

I think there's a very small percentage of VPN users in Europe that really need high security. If you are a journalist, or a political dissidents in the middle east, you should perhaps use super secure VPN.

If you are located in Sweden, and want to download some torrents, I would not worry about government trying to break the crypto to impose a piracy fine on you.

I think VPN providers are marketing security too much. Here, in Sweden, we need VPNs to establish private networks over internet, and not to hide our political opinions from the state.

I'm running https://TekLager.se/ - we build Open Source routers in Sweden :-)
(Sorry for writing in English! My Swedish is still not fantastic...)

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2004
Skrivet av teklager:

I have somewhat controversial opinion about why people use VPN in general. Contrary to most people, I don't think security is the most important feature of VPN.

Most users need VPN to establish a stable connection to a home network, office computer, download some torrents, access US-only websites, access Netflix, etc.
If you are using VPN for these purposes, then WireGuard will be a fantastic choice. NSA is not interested in this stuff at all.

I think there's a very small percentage of VPN users in Europe that really need high security. If you are a journalist, or a political dissidents in the middle east, you should perhaps use super secure VPN.

If you are located in Sweden, and want to download some torrents, I would not worry about government trying to break the crypto to impose a piracy fine on you.

I think VPN providers are marketing security too much. Here, in Sweden, we need VPNs to establish private networks over internet, and not to hide our political opinions from the state.

https://en.wikipedia.org/wiki/IB_affair
https://sv.wikipedia.org/wiki/IB

Asus X99-S
Intel i7 5820K 3,3 GHz 15MB
ASUS STRIX GTX 970 DC2 OC
Corsai Ax1200i

Trädvy Permalänk
Medlem
Plats
plats
Registrerad
Maj 2006

Detta var intressant. Det ser dessutom ut som det finns en FreeBSD port nu.
Jag kommer definitivt hålla ögonen på wireguard!

Nätverksnörd

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jul 2002
Skrivet av moire:

Detta var intressant. Det ser dessutom ut som det finns en FreeBSD port nu.
Jag kommer definitivt hålla ögonen på wireguard!

Håller med om att det ser väldigt intressant ut. Det här är lite samma princip som tex Resilio använder sig av (långa strängar av "key-codes" och sen är man igång).

Det som jag vill är att det fungerar på de vanliga plattformarna, Windows, Linux, Android och iOS. Skulle gärna också vilja ha en funktion för 2FA via tex Google Auth. Dock så ser det ut att inte riktigt passa in då det inte finns någon "connect"-funktionalitet utan är interfacet uppe och alla nycklar rätt så är man uppkopplad.

.:Wks: Cooler Master Silencio 650|Core i5 3570 3.4 GHz|Asus P8Z77-V|8 GB| GT 465|1xDell U2311H, 2xAlienware AW2210 2xEizo 19|OCZ Revo 3 Drive 120 + Raptor 150:.
.:Server: Har ett gäng :) :.
-Learn the system, Play the system, Break the system-